» MikroTik RouterOS (часть 2)

Цитата:

второе - это надо умудриться их сначала создать

Ну так торрент с дхт без ограничений поднять и готово, до 30 тыс запросто.

30 тыс. у одного клиента, чтоле? =)

Угу, с торрентам и больше может случится, если ограничений не ставить. Вот думаешь теперь как их затыкать, соединениями или по содержимому (при шифровании — пролёт.)

это если каждое соединение будет отдавать хотя бы 1 Кб/с, получается 30 Мб/с... это где ж канал на 240 мегабит на пользователя взять? %)

С вай фай разобрался... Настроил Ап бридж и динамик WDS на обеех миках. Подскажите кто то поднимал CentOS по этой статье http://wiki.mikrotik.com/wiki/Xen#CentOS_5.1_Image ? вожзможно обойтись без монитора?

Chupaka цена вопроса???
"перенаправлять - раз плюнуть, редирект на прокси и там action=deny redirect-to=URL"
Использую ПППоЕ Микротик 3.22 + WEB SERVER уже имеется правда на ХР.

aKdidas
цена вопроса - пять минут. надо только определиться, на каком основании редиректить

Chupaka, тут понимаешь какая ситуация, там канал не всегда занимается, просто один маленький пакет в минуту и вот, висит в соединениях.
Хм… да поставь вузе этот да сам погляди, он создает кучу соединений которые не всегда сам закрывает, вот и висят сессии в списке фаира (можно конечно трекингом играться, только проще резануть на число сессий с хоста, к примеру в 1—10 тыс. и порядок.)

Добавлено:
ivanmfan

Цитата:

вожзможно обойтись без монитора?

Этот вопрос не очень понятен. Ты хочешь поставить систему удалённо без монитора или использовать без монитора?

Chupaka


Цитата:

1000 сессий с одинаковым именем/паролем, или 1000 одновременных установленных подключений с одной сессии? второе - это надо умудриться их сначала создать

Без ограничений в таче я запросто видел от одного клиента 800 открытых сессий. Да, это торренты. Суть проблемы в том, что есть симметричный канал 10М. Когда я на канале один, то я вижу эти 10. По загрузке, когда канал в роаботе полоса скачивание не подымается выше 5-ки и идут жалобы клиентов, что медленно. Проверяю сам, визуально действительно тормоза, в таче около 850 сессий, вот и стал вопрос как прооверить и точно уюедиться, что есть ограничение, если оно есть, то нафиг такой канал.

Не удается настроить казалось бы легкое vpn(pptp) соединение.Делал в webboх все настроил как положено.Но проходит ровно 1 минута 28 сек и происходит обрыв связи.mikrotik 3.20
Логи клиента:pptp-out:terminating... -could not connected - timed out
disconnected
initializing...
dialing... и далее по новой

В тоже время что удивительно на сервере в логах написано что коннект установлен.
TCP connection established from 192.168.0.2
pptp-0:waiting for call...
autentificated
connected
admin logged in,192.168.0.2

далее по прошествии какого то времени (абсолютно произвольного от 1мин до 20) пишет

admin logged out 935 30 14360 3 237
terminating disconnected
disconnected

А спустя еще немного времени(опять же абсолютно произвольного) вновь поднимает vpn опять же на 1мин 27 сек

Вот и удивительно что вроде бы эти 15 минут сервер пишет что соединение есть,а клинет что нету.На самом же деле оно почему то обрывается четко через 1мин:27сек.Это я отслеживал по логам клинета.Через это время он пытается дозвонится но не может пишет выше приведенные логи.

Галочка keepalive timeout не стоит

Пока это дело тестирую для дальнейшей связи.Подключены клиент и сервер в свитч,в него же подключен компьютер с winbox с которого я и управляю ими.

Доброго времени суток! Который день уже бьюсь над такой траблой - есть RB750, два разный прова, ISP1 и ISP2 к примеру, локалка. Как выпускать разных клиентов по разным провам - это сделано, но есть еще и VPN-сервер, слушающий интерфейс ISP1, т.е. удаленные клиенты используют "белый" IP от ISP1 в качестве сервера VPN. Сейчас сделано так: default gateway ISP1, на ISР2 идут замаркированые роуты. Делаю:

/ ip firewall mangle
add chain=input in-interface=pppoe-isp1 action=mark-connection new-connection-mark=in_isp1
add chain=input in-interface=pppoe-isp2 action=mark-connection new-connection-mark=in_isp2
add chain=output connection-mark=in_isp1 action=mark-routing new-routing-mark=to_isp1
add chain=output connection-mark=in_isp2 action=mark-routing new-routing-mark=to_isp2

/ ip route
add dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.xxx routing-mark=to_isp1
add dst-address=0.0.0.0/0 gateway=yyy.yyy.yyy.yyy routing-mark=to_isp2

...и впн-клиенты успешно отваливаются. В логах:
input: in:pppoe-isp1 outnone), proto TCP (SYN), 94.179.xxx.xxx:39992->195.xxx.xxx.xxx:1723, len 40 (от клиента ко мне)

есть такое правила в фаерволе:
......
6 ;;; Allow VPN
chain=input action=accept protocol=tcp dst-port=1723

7 ;;; Allow GRE
chain=input action=accept protocol=gre

8 ;;; Allow IKE
chain=input action=accept protocol=udp dst-port=500

9 ;;; Allow IPSec-esp
chain=input action=accept protocol=ipsec-esp

10 ;;; Allow IPSec-ah
chain=input action=accept protocol=ipsec-ah
...

если же убираю в маршрутизации в правиле routing-mark=to_isp1 - то все поднимается влет.
Может кто ткнет меня носом - реально уже мозги набекрень =(

Помогите настроить авторизацию по ip и mac, как это реализовать?если есть возможность то поподробней, я только знакомлюсь с МТ.заранее благодарен

Цитата:

Demon: Проверяю сам, визуально действительно тормоза, в таче около 850 сессий, вот и стал вопрос как прооверить и точно уюедиться, что есть ограничение, если оно есть, то нафиг такой канал.

Как вариант, можно поднять где то на стороне фтпшник с безлимитными сессиями и попробовать стянуть большой файл (гигов на 10) какой-то качалкой которая может поднять более двух тыс соединений, так в логе качалки обрывы сразу увидишь.

komar90
А микротик у тебя не падает, в смысле, не перезагружается часом?

Yakimoto

Цитата:

В логах:

а если логи output посмотреть? интересует тот же порт 1723/tcp и протокол gre

дефолтовый немаркированный маршрут есть? с какой ошибкой отваливаются клиенты?

to Chupaka:
дефолтовый немаркированный есть:

Код:
1 A S ;;; RouteToISP2
0.0.0.0/0 reachable 193.254.xxx.xxx 1 pppoe-isp2 #маркированный
2 A S ;;; RouteToISP1
0.0.0.0/0 reachable 195.xxx.xxx.xxx 1 pppoe-isp1

[q][/q]

Неа.Отслеживаю через winbox это.Клиент пытается дозвониться бесперестанно пишет диалинг и дисконнект,а в это время сервак думает что все заебись о чем говорит в логах(ВИДИМО ТУПИТ).Единственное сколько раз не проверял когда заново создаю пптп соединение оно устанавливается ровно на 1мин 27 сек.и далее обрывает и не может дозвониться.Вот хотите верьте хотите нет мистика блин.

Yakimoto
я про лог, когда не подключается

Chupaka
по вашей рекомендации для блокировки трафика между двумя интерфейсами
в бридж:
/interface bridge filter
немного не разберусь... а именно:

Код: Chain=forward action=drop in-interface=lan out-interface=wlan1

vlh
нет. во-первых, надо так:

chain=forward in-bridge-port=lan out-bridge-port=wlan1 action=drop

это правило заблокирует в бридже пакеты с порта lan в порт wlan1 (но не обратно!)

а если еще и с wlan1 в lan, то наверное создать еще одно правило?

Код: chain=forward in-bridge-port=wlan1 out-bridge-port=lan action=drop

Chupaka в том-то и дело, что исходящих нет

Код:
0 chain=input action=mark-connection new-connection-mark=in_isp1 passthrough=yes in-interface=pppoe-isp1
1 chain=input action=mark-connection new-connection-mark=in_isp2 passthrough=yes in-interface=pppoe-isp2
2 chain=output action=mark-routing new-routing-mark=to_isp1_conn passthrough=yes connection-mark=in_isp1
3 chain=output action=mark-routing new-routing-mark=to_isp2_conn passthrough=yes connection-mark=in_isp2
4 chain=input action=log src-address=213.154.xxx.xxx log-prefix=""
5 chain=output action=log dst-address=213.154.xxx.xxx log-prefix=""

Yakimoto
т.е. output пуст? и есть ли при этом дефолтовый маршрут в таблице main?

Chupaka
так, стоп! Если включен дефолтовый маршрут без маркировки, то все прекрасно работает (я раньше лог написал). А последняя выкладка из лога, это когда маркируются входящие соединения и маршруты строятся согласно маркированным маршрутам (из мануала).

komar90
хм… а логи что кажут? У меня было что-то подобное, но тогда штык падал, там правда другая причина, в нём винт почти сдох (сыпался).
Yakimoto
Посмотри в логи если сделать маршрутом по умолчанию pppoe-isp2, а не pppoe-isp1. Даётся мне, что штык не знает куда отправлять пакет. Маркировка маршрутов как-то не так как надо отрабатывает.

Yakimoto
два маршрута должны быть с маркировкой (на каждого провайдера), и один - без маркировки. именно эта ситуация меня интересует

Chupaka

Цитата:

два маршрута должны быть с маркировкой (на каждого провайдера), и один - без маркировки

при таком случае - все работает... и pptp и l2tp+IPSec

Добавлено:
+ проверю сегодня из дому, что-то жалуются, что сайты, что внутри лежат на веб-серве - тупят.

..хм... странно

А не подскажите люди добрые как логи более подробные посмотреть, а то log print выдает только поверхностные логи

komar90
поднять где-нить syslog-сервер и сбрасывать логи на него
/system logging action - смотри remote (или через winbox)

komar90
http://wiki.mikrotik.com/wiki/Log#Topics

господа такой вопрос
2 здания не связаных между собой
2 тазика с микротиками 2.9.27
динамические айпи от провайдера - единственный вариант линка только через инет
в динднс (www.changeip.com) я настроил отчет об текущем айпи через каждые 5 минут
задача поднять с одного роутера на второй ВПН-тунель
проблема в том что микротик преобразовывает имя с ДинДнс в айпиадрес, каждый раз лезть и менять это не дело
может существует решение этой проблемы?
скриптик или еще чего?